メガバンクなど国内3行のインターネットバンキングで2012年10月から11月にかけ、総額420万円が不正に引き出される事件が発生した。欧米では似た手口で既に2000億円規模の被害を出した。正規の銀行サイトで発生した事件を前に、金融機関各社の対策は急務だ。
「不正にポップアップ画面を表示させてインターネットバンキングの情報を盗み取ろうとする犯罪にご注意下さい」。
国内金融機関は2012年11月上旬、新手のフィッシング詐欺について警告する告知を一斉公開した。10月から11月にかけ、ネットバンキング利用者のWebブラウザーに偽のポップアップ画面を表示させて認証情報をだまし取る事件が多発したためだ。
不正なポップアップ画面の表示が確認されたのは、ゆうちょ銀行、三井住友銀行、三菱東京UFJ銀行、みずほ銀行、楽天銀行、住信SBIネット銀行の6行と、クレジットカード会社の三菱UFJニコスだ。警察庁によれば、不正画面にパスワードを入力した利用者は11月9日時点で364人に上る。このうち三井住友、みずほ、楽天の3行では、合計5口座から総額420万円が不正に引き出された。
今回の事件には、これまでのフィッシング詐欺とは根本的に異なる点がある。利用者がアクセスしたのが、正規の銀行サイトだった点だ。一般的なフィッシング詐欺は、本物に似せた別サイトに利用者を誘導し、IDやパスワードをだまし取る。これに対して今回の事件では、利用者のPCに感染したウイルスが、正規サイトから受信したHTMLを改ざんし、偽のポップアップ画面を表示した。
利用者は正規サイトを参照しているので、アクセス先が正規サイトであることを証明する「SSL証明書」のほか、Webブラウザーやセキュリティソフトが備える「フィッシング詐欺検知機能」はほとんど無力だった。使われたウイルスはいずれも新種で、ウイルス対策ソフトでは発見できなかった。
正規サイトとの通信を改ざんして認証情報を盗み取る手口は、欧州を中心に全世界で最大2000億円もの被害を出したとされる金融詐欺事件「Operation High Roller」と同じものだ。同攻撃で使われたウイルスは、ワンタイムパスワードやICカード認証といった「2要素認証」すら無効化させる機能を備えていた。こうした大規模な金融詐欺は今後、国内でも発生しかねない。その対策のために、国内と海外で発生した事件の詳細を解説する。
